Ransomware SamSam po raz kolejny zbiera żniwo i… przeprasza

Ransomware SamSam po raz kolejny zbiera żniwo i… przeprasza

SamSam znany jest również jako Samas, przy każdej infekcji wygląda inaczej. To niestandardowy szczep, który można zaliczyć do oszustw ukierunkowanych.

Można powiedzieć, ze grupa ransomware-ów SamSam weszła w 2018 rok z przytupem. Trafiła bowiem kilka dość ważnych celów, takich jak szpitale, rada miejska czy firma ICS.

Zgłoszone ataki

obejmują szpital Hancock Health Hospital w Greenfield w stanie Indiana, Adams Memorial Hospital w Decatur, gminę Farmington i kilka innych. Jak poinformował Bleeping Computer, szpital w Indianie zapłacił za odszyfrowanie plików po ataku 4 BTC, czyli 55000 dolarów. Straty finansowe to jedno, niestety na ataku ucierpieli również pacjenci, których operacje musiały zostać przełożone. Steve Long - dyrektor szpitala - powiedział, że ransomware zaszyfrowało ponad 1400 plików, tymczasowo zmieniając również nazwiska każdego z pacjentów na „I’m sorry”. Hakerzy dali szpitalowi siedem dni na zapłatę okupu, w przeciwnym razie wszystkie pliki pozostałyby zaszyfrowane. Dyrektor przyznał również, że szpital posiadał kopię zapasową, ale jej odtworzenie było mniej opłacalne z biznesowego punktu widzenia.

SamSam ransomware - krótka charakterystyka

SamSam znany jest również jako Samas, przy każdej infekcji wygląda inaczej. To niestandardowy szczep, który można zaliczyć do oszustw ukierunkowanych. Załoga SamSam zwykle skanuje Internet w poszukiwaniu komputerów z otwartymi lub słabo zabezpieczonymi portami RDP, które brutalnie wymuszają roznoszenie się na wiele komputerów. Treść i wygląd wiadomości zazwyczaj różnią się od siebie, w zależności od ofiary. Mimo to, na podstawie zrzutu ekranu udostępnionego przez radę miasta Farmington, można powiedzieć, że ta szczególna wersja SamSam, która wykorzystuje notatkę „0000-SORRY-FOR-FILES.html”, zainfekowała co najmniej osiem podmiotów od 26 grudnia. Większość ofiar pochodzi z USA, kilka z Kanady i Indii. Niektóre z nich zgłosiły pliki zaszyfrowane z rozszerzeniem .weapologize. SamSam ransomware Do podobnego ataku doszło w kwietniu ubiegłego roku. W 2017 roku ofiarą padł szpital w Nowym Jorku. Wtedy kwota okupu żądana przez przestępców wynosiła 44000 dolarów. W tamtym czasie szpital zdecydował się na odmowę zapłacenia okupu, a odbudowa informatycznej infrastruktury potrwała miesiąc.

Ransomware SamSam - jak zazwyczaj dochodzi do infekcji? 

Na początek rozsyłane są kampanie spamu z zainfekowanymi załącznikami lub narzędziami z rodziny Exploit Kit. Maile posiadają gotowe exploity na niezałatane rozszerzenia lub same przeglądarki. W tym przypadku luka okazała się słabo zabezpieczona. Właśnie dlatego malware zainfekował maszynę i rozprzestrzenił się na inne tuż po zalogowaniu użytkownika. Cyberprzestępcy za odszyfrowanie plików żądają od 0,7 aż do kilkudziecięciu BTC.

„Zapobiegać a nie leczyć” - ochrona przed ransomware 

Ochrona przed SamSam tak jak przed innym szkodliwym oprogramowaniem, sprowadza się do kilku dobrych praktyk, które zdecydowanie warto stosować:

  • nie czekaj z aktualizacją systemu i oprogramowań - ich terminowe wdrażanie pozwoli Ci uniknąć możliwych luk i wrażliwych punktów
  • backup, backup i jeszcze raz backup - regularnie twórz kopię zapasową kluczowych danych i przechowuj ją w bezpiecznym miejscu, przede wszystkim odseparowanym od reszty firmowej sieci
  • white list - tworzenie białej listy bierz na poważnie, rozwiązanie, które bazuje m.in. na white list, traktuje wszystkie inne aplikacje jako niezaufane i potencjalnie szkodliwe
  • segmentacja sieci i użytkowników - przydzielaj uprawnienia, twórz strefy bezpieczeństwa i stosuj autoryzację użytkowników
  • edukacja i uświadamianie - uświadamiaj użytkowników sieci o możliwych scenariuszach zdarzeń i ich konsekwencjach, mów o aktualnych cyberzagrożeniach i stosowaniu socjotechniki
Jeżeli masz wątpliwości, czy Twoja sieć firmowa i punkty końcowe są odpowiednio zabezpieczone - porozmawiaj z nami. Pomagamy w doborze rozwiązań, testujemy je i prezentujemy funkcjonalność na naszych webinariach. Robimy to po to, abyś mógł czuć się w pełni bezpiecznie. 
Oceń blog:
Czas czytania: 5 min
Data: 23.01.2018

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
CrowdStrike Falcon Enterprise VELOCITY

CrowdStrike Falcon Enterprise VELOCITY

Velocity Falcon Enterprise to gotowy pakiet bezpieczeństwa oparty na technologii Falcon Enterprise, rozszerzający ochronę endpointów o EDR/XDR i threat hunting.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon Go VELOCITY

CrowdStrike Falcon Go VELOCITY

Velocity Falcon Go to gotowy pakiet ochrony endpointów oparty na NGAV, rozszerzony o kontrolę urządzeń i uproszczone zarządzanie w modelu cloud.

Wycena indywidualna
Zobacz więcej
CrowdStrike Falcon COMPLETE

CrowdStrike Falcon COMPLETE

Falcon Complete to w pełni zarządzana usługa MDR, w której CrowdStrike odpowiada za wykrywanie, analizę i reakcję na incydenty bezpieczeństwa.

Wycena indywidualna
Zobacz więcej